III

Transcripción

1 UNIVERSIDAD DE PANAMA SIBIUP Bibliotea mt Sumen Bolivar III VICERRECTORIA DE INVESTIGACIÓN Y POSTGRADO UNIVERSIDAD CARLOS III DE MADRID MASTER EN GESTION Y TECNOLOGIA DEL CONOCIMIENTO Proyecto de Implementacion de un Plan de Recuperacion ante Desastres (DRP) para el Ministerio de Trabajo y Desarrollo Laboral Sede Principal Autores Mana del C Miranda M Cedula Tutores Almudena Alcaide Benjamin Ramos TESIS PRESENTADA COMO UNO DE LOS REQUISITOS PARA OBTENER EL GRADO DE MASTER EN GESTIÓN Y TECNOLOGIA DEL CONOCIMIENTO PANAMA REPUBLICA DE PANAMA 2013

2 i Indice Pagina mm Indice 2 11 Resumen 3 iii Abstract 4 iv Indice Cuadros y Figuras 5 y Palabras Claves 6 vi Presentacuon del Proyecto de Tesis 8 Capitulo Introduccuon 1 2 Sutuacuon Actual del Ministerio de Trabajo y Desarrollo Laboral 1 3 Desastres Naturales 1 3 Riesgos a los que esta sometido el Ministerio de Trabajo y Desarrollo laboral 1 4 Objetivos Especificos 1 5 Metodologia Mapa de Ruta para la Metodologua Propuesta Fase 1 Conocer la Organuzacion Fase 2 Evaluar el Riesgos y su Impacto en el Negocio Fase 3 Analisis del Impacto al Negocio (BIA) Fase 4 Plan de Recuperacion ante desastres

3 Capitulo Estandares y Mejores Practicas para la Planeacion de la Continuidad del Negocio y Recuperacion ante Desastres de Tecnologia 2 1 a Estandares ISO 2 1 b Estandares BSI 2 2 Ejemplos de Plan de Recuperacion ante Desastres Capitulo Desarrollo Plan de Recuperacion ante Desastres del Ministerio de Trabajo y Desarrollo Laboral Fase 1 Conocer la Organizacion Fase 2 Evaluar los Riesgos y su Impacto en el Negocio Fase 3 Analisis del Impacto al Negocio (BIA) Fase 4 Plan de Recuperacion ante desastres Conclusiones Bibliografía Referencias a internet Anexos 3

4 u Resumen Este trabajo corresponde a nuestra tesis de grado contiene informacion obtenida de una institucion de gobierno de la Republica de Panama en el primer capitulo se proporciona rnformacion acerca de la situacion actual de la institucion en materia tecnologica se definen los tipos de desastres naturales que se van a estudiar y se presenta la Metodologia para desarrollar el plan de recuperacion ante desastres El segundo capitulo hace una breve explicacion de los estandares internacionales y mejores practicas para la planeacion de la continuidad del negocio y recuperación ante desastres asi como casos de ejemplos En el tercer capitulo se desarrolla el plan de recuperación como tal se dan las recomendaciones pasos y procesos a seguir ante un evento natural 4

5 ni Abstract This work relates lo our Ihesis contains information obtaincd from a govcmrnent institution of the Republie of Panarna in the first chapter provides information about the current status of the institution in technology defines the types of natural disasters be studied and presents the methodology lo develop the disaster recovery plan The second chapter gives a bnefexplanation of international standards and best practices for planning business continuity and disaster recoery as wcll as cisc examples In the third chapter sw devetop the recovery plan as such recomrnendations are given steps and processes lo be foiloed ni a natural event 5

6 iv Indice de Cuadros y Fisuras Indice de Figuras Pag Figura 1 Plan de Continuidad del Negocio (BCP) 12 Figura 2 Plaza Edison Localizacion del Mrnisteno de Trabajo 16 ydesarrollolaboral Figura 3 Extracto Plan Arquitectonico del Mitradel 17 Figura 4 Ventajas y Desventajas de los estandares buenas practicas y Metodologias para emprender un modelo de gestion para la planeacion del Negocio y Recuperacion ante desastres 34 Figura 5 Diagrama de Estructura de Respuesta Ante Desastres 54 Figura 6 Estructuracion de los Equipos de Tecnologia 58 Figura 7 Diagrama Propuesto Sitio Alterno 59 Indice de Cuadros Cuadro 1 de Estandares 28 Cuadro2 Mejores Practicas 32 Cuadro 3 Direcciones de Mitradel 39 Cuadro 4 Aplicaciones de Prioridad Alta de Mitradel 41 Cuadro 5 Identificacion de Funciones Servicios y Recursos Cnticos del Area 42 Indice de Tablas Tabla 1 Calificacion de las Amenazas Tabla 2 Analisis de Amenazas para Mitradel 44 Tabla 3 Elementos y Aspectos de Vulnerabilidad 45 Tabla 4 Anahsis de Vulnerabilidad de Equipos de IT 46

7 Tabla 6 Analisis de Vulnerabilidad para Servicios 46 Tabla 7 Analisis de Vulnerabilidad para Procesos de Recuperacion 47 Tabla 8 Interpretacion de Vulnerabilidad para cada Elemento 48 Tabla 9 lnterpretacion de la Vulnerabilidad por cada proceso 48 TablalO Resultados del Analisis de Vulnerabilidad] 48 Tabla 11 Analisis de Valores de Vulnerabilidad y Riesgo 49 Tabla 12 Aspectos a Considerar 50 Tabla 13 Rangos para Clasificacion 52 Tabla 14 Analisis Costo / Beneficio 56 Tabla 15 Empresas Proveedoras de Servicios 57 Tabla 16 Arbol de Llamadas 60 Tabla 17 Actividades a Ejecutar en el Plan de Recuperacion 61 7

8 y Palabras Clave MITRADEL Ministeno de Trabajo y Desarrollo Laboral PIPO (Recovery Point Objetive) tiempo MAXIMO destinar para la recuperacion de los datos que la empresa esta dispuesta a RTO (Recovery Time Objetive) es el tiempo establecido como minimo para que las diferentes unidades de negocio puedan volver a su funcionamiento DRP Es un conjunto de actividades y planes que se construyen con el objetivo de permitir que la empresa pueda retomar a una condicion de funcionamiento aceptable luego de haber ocurrido un evento de la naturaleza o desastre natural BCP Es conocido como un proceso de crear un conjunto de planes y procedimientos dentro de la empresa con el objetivo de poder contar con un plan o procedimiento a seguir en caso de ocurrir un evento de la naturaleza KVA El voltamperio de simbolo VA es la unidad de la potencia aparente y de la potencia compleja de un aparato electnco Tambien se usa a menudo para la potencia reactiva aunque la unidad recomendada para esta magnitud es el var (unidad) Dimensionalmente se corresponde con el vatio DATA CENTER Centro de datos es donde se encuentran los recursos tecnológicos necesarios para que una empresa pueda procesar su informacion IDC Data Center

9 vi PRESENTACIÓN DEL PROYECTO DE TESIS La dependencia de la tecnologia en el Estado Panameño se ha incrementado en los ultimos años dando como resultado un Gobierno mas eficiente y competitivo Ello conlleva a que sea mandatorio la confeccion e implementacion de un Plan de Recuperacion de Desastres en todas sus entidades y dependencias que utilicen las TIC s como herramienta en sus funciones cotidianas Como parte del continuo avance en las mejoras de procesos interno del Ministerio de Trabajo Y desarrollo Laboral el presente documento busca servir de Modelo para la implantacion de un plan de Recuperacion de Desastres dentro de la Entidad,,Por que el plan de recuperacion de desastres es esencial9 La Guia de Planeacion de Recuperacion de Desastres (The Disaster Recovery Guide Open Directory Project) Recomienda que si un plan aun no existe será necesario iniciar la preparacion de la primer version de dicho plan Para poder iniciar un proyecto de planeacion por primera vez el nivel superior de administracion tendra que recibir una propuesta Los proyectos importantes como la planeacion de recuperacion de desastres deberan ser aprobados en el nivel maximo para asegurar que el nivel adecuado de recursos y atencion a la administracion sea aplicado al proceso La propuesta debera presentar las razones por las que se llevara a cabo el proyecto y podra incluir todas o algunas de las siguientes

10 Dependencia en aumento por el negocio en años recientes en cuanto a produccion computanzada y mecanismos de entrega de ventas que ocasiona el aumento del nesgo de perdida de servicios normales Dependencia en aumento por el negocio en años recientes en cuanto al uso de sistemas computanzados de informacion Consentimiento incrementado del impacto que un accidente seno podria provocar en el negocio Necesidad de establecer un procedimiento formal a realizar cuando ocurra el desastre Una tendencia hacia costos bajos o perdidas derivadas de incidentes graves Aumento de medidas de proteccion inadecuadas de tecnologias de informacion Necesidad de desarrollar backups y estrategias de recuperacion efectivas para mitigar el impacto de eventos disruptivos Fracaso en el negocio provocado por incidentes disruptivos Basicamente lo antenor es una lista de las razones mas comunes por las que las organizaciones recurren a los planes de recuperacion de desastres Aqui se muestra de nuevo como las empresas buscan adquirir uno de estos Planes no necesanamente para prevenir un accidente sino para recuperarse del impacto provocado por el desastre 10

11 CAPITULO 1 INTRODUCCION PLAN DE RECUPERÁCION ANTE DESASTRES PARA EL MINISTERIO DE TRABAJO Y DESARROLLO LABORAL

12 1 1 INTRODIJCCION Que es un DRP Un DRP son Procesos desarrollados con el objetivo de permitir a la empresa volver a condiciones estables despues de sufrir las afectaciones de un desastre natural Esta basicamente onentado a recuperar los servicios de tecnologia,que es un BCP El BCP es mas un proceso que se desarrolla de forma Global dentro de la organizacion (vease figura 1) ya que enmarca todos los planes o procedimientos que permiten garantizar la continuidad del negocio luego de ocurrido un desastre natural

13 d oflt.i O Da 1 V 4/_N -I Plan 0 Da. K ci PLAN DE CONTINUIDAD DEL \ \OCIO(BCP) J. fl '4 0 Figura 1 Plan de Continuidad del Negocio (BCP) Un Plan de Recuperacion ante desastres viene siendo parte del plan global de continuidad del negocio es la estrategia que se seguira para restablecer los servicios de TI (Hardware y Software) despues de haber sufrido una afectacion por una catastrofe natural epidemiologica falla masiva daño premeditado ataque de cualquier tipo el cual atente contra la continuidad del negocio Objetivo Establecer el conjunto de estrategias procedimientos roles y responsabilidades requeridos para reanudar los servicios de tecnologia del Ministeno de Trabajo y Desarrollo Laboral en caso de la ocurrencia de un evento de desastre que afecte la plataforma tecnologica 12

14 12- Situacion Actual del Ministerio de Trabajo y Desarrollo Laboral El Ministerio de Trabajo y Desarrollo laboral es la institucion encargada de regular la actividad Obrero Patronal en nuestro pais Objetivos del Ministerio de Trabajo y Desarrollo Laboral Proyectar promover regular administrar y ejecutar el sistema de administracion del trabajo estableciendo con el Órgano Ejecutivo la Politica Nacional Laboral as como los Proyectos y Programas de Desarrollo Laboral del Estado conforme con la Constitucion Politica Leyes y Convenios Internacionales ratificados por Panama contribuyendo al Desarrollo Humano con Justicia Social el Fomento del Dialogo Social Tnpartito el Trabajo Decente la Promocion del Empleo digno en Igualdad de Genero la Proteccion de la Salud y Seguridad del Trabajador particularmente de los sectores vulnerables como son las Personas con Discapacidad y los Menores de Edad y Adolescentes Trabajadores OBJETIVO ESTRATECICOS Mejorar las capacidades del talento humano del Ministerio a traves de la capacitacion permanente bnndandoles programas de incentivos a los colaboradores Mejorar los procedimientos administrativos y funcionales de la Institucion Promover la excelencia en la atencion de los clientes internos y externos mediante el establecimiento de una cultura de mejoramiento continuo 13

15 Incorporar un programa de renovacion permanente de la tecnologia, con la adguisicion de nuevos equipos informaticos de punta, que contribuyan a sistematizar las funciones del Ministeno de Trabajo y Desarrollo Laboral Promover e incentivar la insercion laboral de las personas con discapacidad y el desarrollo de programas y proyectos de generacion de empleo para grupos vulnerables que coadyuven a disminuir la tasa de desempleo en el pais Fomentar los empleos productivos basados en competencias laborales y la insercion en el mercado de trabajo con igualdad de oportunidades para todos los trabajadores ciudadanos mas vulnerables del pais a traves de politicas laborales y de dialogo social Establecer los mecanismos de control y supervision que garanticen el cumplimiento de las legislaciones y normas vigentes en el pais en cuanto a la segundad laboral por parte de las empresas y trabajadores A REAS ESTRATÉGICAS DEL MINISTERIO U Adminisiracion U Planificacion U Capacitacion 14

16 E Trabajo y Empleo III In vesugacion y Observatorio Laboral 0 Innovacion Tecnológica" [2] Como podemos observar el ministerio tiene entre sus objetivos y estrategias ofrecer un servicio tecnologicamente innovador a todos los ciudadanos de la Republica de Panama es por esto que se hace necesario contar con un Plan de recuperacion ante desastres robusto y que cumpla con las expectativas requendas Por ser el ministerio un ente mediador entre trabajadores y empleadores es comun que ocurran eventos de reuniones entre sindicatos y empleadores en las instalaciones del ministerio poniendo esto en riesgo las instalaciones y los equipos tecnologicos En ese sentido entonces el ministerio afronta los riesgos de desastres naturales y riesgos por ataques sabotaje etc Actualmente el ministerio de trabajo se encuentra ubicado en Plaza Edison Avenida Ricardo J Alfaro utilizando los pisos Planta Baja Piso 5 El centro de computo se encuentra ubicado en el piso 5 oficina 25 y 26 15

17 El ministerio de trabajo esta fisicamente localizado en la vía Ricardo J. Alfaro una de las principales vías de la ciudad de Panamá. Es un edificio de 5 pisos en donde se encuentran ubicadas otras instituciones del estado y oficinas privadas. Figura 2. Plaza Edison. Localización del Ministerio de trabajo y Desarrollo laboral en la ciudad de Panamá En el anexo 2 se puede observar el plano arquitectónico completo del ministerio en donde se ve la ubicación fisica del data center del ministerio de trabajo y desarrollo laboral. I1

18 Oficina Reunion 2 o u Oficina LU [Reunior ti, ( - o - a, LÚ Doto cer er Dl' - o- aieaezma DATA CENTER DE MITRADEL FIGURA 3. Extracto- Plano Arquitectónico Ministerio de Trabajo y Desarrollo Laboral Como se muestra en la figura 3. actualmente el data center está ubicado dentro de una oficina de la Dirección de Informática. EL data center cuenta con piso falso, una unidad de batería de 15 KVA, corriente limpia solo para los equipos del datacenter. (Ver Anexo 3). 17

19 Riesgos - El centro de computo se encuentra ubicado a escasos 20 metros del pasillo en donde transitan los visitantes que acuden dia a dia al ministerio - El centro de computo(data Center) esta dentro de las oficinas del departamento de informatica - Igualmente se encuentra en una habitacion con ventana la cual da hacia la parte de afuera del edificio por ende esta expuesto a sabotaje o danos por tormentas con fuertes vientos y lluvia En el presente anteproyecto nos vamos a enfocar a los posibles desastres naturales que puedan provocar daños a las instalaciones del edificio donde se encuentran las instalaciones tecnologicas del ministerio Tormentas electncas - Tomados 18

20 13 Desastres Naturales Los desastres Naturales son fuertes e intensos cambios que ocurren a personas bienes servicios y medio ambiente Mismos eventos que pueden sobrepasar la capacidad de respuesta del area que resulto afectada Entre estos tenemos a Simov/ Terremotos Son los movimientos de la corteza tcrreçtre que gcneran deformacioncs intensas en las rocas del interior de la tierra acumulando energia que subitamente es liberada en forma de ondas que sacuden la vuper/icie terrestre b Mare,notos'/Tsunamiç Movimiento de la cortea terrestre en el fondo del oceano formando y propagando olas de gran altura c Erupciones Vokanicas Es ci paso del material (magma) cenizas y gases del interior de la ticrra a la superficie d Deçiizamiento de Tierras Que ocurren como revultado de cambios' subitos' o graduales de la composicion estructura Judrologia o vegetacion de un terreno en declive o pendicntt e Derrumbes Es la caida de una franja de terreno que pierde su estabilidad ola des-truccion de una estructura construida por el hombre f Aludes Masa de nieve que se des-plaza pendiente abajo g Aluviones Flujos' de grandes volunzenes de lodo agua hielo roces originados' por la ruptura de una laguna o deslizamiento de un nevado

21 h Golpe de agua o Huavcos Desprendimientos de lodo y rocas debido a precipitaciones pluviales se presenta como un golpe de agua lodosa que se desli_a a gran velocidad por quebradas secas y de poco caudal arrastrando piedras y troncos Inundaciones Invavion lenta o violenta de aguas de rio lagunas o lagos debido a fuertes precipitaciones fluviales o npturas de embalses causando danos considerables Se pueden presentar en forma lenta o gradual en llanuras; de forma violenta o siihita en regiones montano sas de alta pendicntc Tormentas Fenonzenos atmosfericos producidos por descargas electricas en la atmos [era j Granitadas Precipitacion de agua en forma de gotas solidas dc hielo k Tornados Vientos huracanados que se producen en forma giratoria a grandes velocidades 1 Huracanes Son vientos que sobrepasan mas 24 Km /h como consecuencia de la interaccion del airc caliente; humedo que viene del oceano Pacifico con el aire frio [5] Riesgos a los que esta sometido el Ministerio de Trabajo y Desarrollo laboral El ministerio de Trabajo como todas las instituciones de nuestro pais tienen el riesgo latente de sufrir cualquier catastrofe natural que tenga como resultado el no poder prestar el servicio que ofrece de forma continua A continuacion se detallan 20

22 Desastres Naturales Tomado Terremoto Inundacion Tormentas Electricas Desastres creados por el Hombre Protestas que culminen con destrozos de equipos electronicos Terrorismo Acceso no autorizado a los equipos informaticos Segun las estadisti cas disponibles la Republica de Panama es un pais con una incidencia e impactos de desastres menores en comparacion con el resto de Centroamerica sin embargo el pais no esta exento de ellos Las poblaciones vulnerables en su gran mayoria se expanden hacia areas de amenazas reconocidas por estudios tecnicos de especialistas El concepto de vulnerabilidad ante desastres socio naturales toma amplio interes Con una poblacion de aproximadamente 36 8% en condicion de pobreza incluyendo la pobreza urbana la gente se vio obligada a concentrarse en areas altamente 21

23 vulnerables (como los corregimientos de San Miguelito Chorrillo Calidonia Juan Diaz Alcalde Diaz entre otras) Estas zonas se asocian a patrones de desarrollo urbano espontaneo que no respetan las normas de construccion y que han adquirido habitos de consumo poco higienicos (acumulacion de basura en fuentes de agua basureros clandestinos en cualquier esquina de la ciudad etc) Las ciudades de Panama y Colon y con certeza el resto de las ciudades del pais viven en un constante nivel de riesgo El pais presenta fallas geologicas activas importantes Falla de Tonosi Zona de Fractura de Panama Falla de Gatun el cinturon deformado del norte de Panama entre otras En caso de que se produzca un sismo fuerte en particular los centros urbanos se verian seriamente afectados con las secuelas de falta de servicios y control de enfermedades Eventos como el terremoto que impacto a las provincias de Bocas del Toro y Chiriqui en 1991 el paso del huracan Mach en fase de tormenta tropical cerca de las costas panameñas en la provincia de Darien en 1998 los movimientos sismicos de Chiriqui de 2001 y en Colon en el 2003 las trombas marinas avistadas en el area de la Bahia de Panama en el 2002 y en agosto del 2003 las graves inundaciones del 17 de septiembre de 2004 en la capital que dejaron un saldo de 16 victimas mortales afectados y 1405 damnificados son eventos que evidenciaron que eran necesarias la preparacion y participacion comunitaria para enfrentar los impactos ocasionados por el impacto de amenazas naturales en este pais [1] 22

24 14 Objetivos especificos / Recuperar la plataforma teenologica que soporta tos servicios criticos del Ministeno de Trabajo y Desarrollo Laboral / Definir los elementos y procedimientos necesarios que le permitan al Ministeno de Trabajo y Desarrollo Laboral soportar la recuperacion efectiva y eficiente de los sistemas y aplicaciones que se encuentran respaldados 1 Reducir los tiempos de recuperacion mediante la estructuracion de las acciones a seguir antes durante y despues del evento que se presente 1 Alinear los diferentes procedimientos de contingencia documentados en la Gerencia de arca de Tecnologia 1 Garantizar la operacion de los aplicativos del ministerio 1 Permitir que el sistema se replique en servidores espejos fuera del sitio 1 Garantizar la durabilidad de los equipos manteniendo una frontera entre la comente electnca y los mismos evitando con esto posibles daños por picos de comente 1 5-Metodologia En este punto vamos a definir una metodologia que proporcione una secuencia definida de pasos pan elaborar de manera sistematica un plan para la continuidad y recuperacion ante desastres para el Ministeno de trabajo y desarrollo laboral con el objetivo de que el mismo garantice la continuidad del negocio del citado ministerio 23

25 15 1- Mapa de Ruta para la Metodologia Fase 1 Conocer la Organizacion En esta fase se busca establecer la necesidad de desarrollar el plan de continuidad en la organizacion de tal manera que se comunique la importancia de realizar este plan involucrando a los directivos y el personal de la empresa De modo que es importante conocer previamente en terminos generales la naturaleza de la situación en cuestion Por tal motivo es necesano investigar los antecedentes de la problematica a tratar lo cual permitira identificar el medio ambiente y as areas donde se desenvuelve el problema Esta Fase genera las siguientes tareas Conocer el medio ambiente general Identificar la estructura organizacional de la empresa Definir la arquitectura de macro procesos Definir equipos de planificacion y sus responsabilidades Definicion de objetivos alcance y escenarios del problema Concienciacion y aprobacion por parte de los directivos Evaluar los Riesgos En esta etapa se deben identificar las amenazas internas y externas incluyendo concentraciones de riesgo permitiendo controlar y pnonzar para formar una base que establezca un programa de control y un plan de accion de gestion de nesgo se deben 24

26 identificar las actividades de mision critica de la organizacion sus dependencias y sus puntos de fallas tambien el analisis de impacto y el efecto que se generana en caso de la perdida o interrupcion de las actividades de mision cntica Actividades de esta etapa - Identificacion de las funciones servicios y recursos cnticos del area - Analisis evaluacion y diagnostico de nesgos - Control de riesgos - Evaluacion y diagnostico del analisis de impacto del negocio Analisis del impacto al Negocio (BIA) En esta fase se lleva a cabo un analisis que permite visualizar que procesos o areas son las mas cnticas en el negocio Permite poder pnonzar sobre cuales aplicativos son necesanos llevar a otro sitio y cuales pueden mantenerse Esta fase es la mas importante y es la que debe ser mas concisa y concreta de modo que debe orientarse a presentar los resultados de los analisis realizados Actividades de esta fase - Desarrollar RTO (Objetivo de tiempo de recuperacion) - Desarrollar RPO (Punto de recuperacion) - Graficar Resultados 25

27 El RTO (Recovery Time Objetive) es el tiempo maximo que la compañia esta dispuesta a destinar para la recuperacion de los datos al haber pasado por un evento de perdida de datos ya sea por desastre natural o alguna otra causa El RPO (Recovery Point Objetive) Nos indica la cantidad de datos maximo que se puede perder y que se acepta como tolerable ante la ocurrencia de un desastre natural o alguna otra causa Plan de Recuperacion ante Desastres En esta fase se determinan los recursos minimos para trabajar en el centro alterno se describen las estrategias y se formalizan los procedimientos de reanudacion y recuperacion As mismo se definen los procedimientos de notificacion y escalamiento de emergencias y los cntenos y procedimientos de activacion de los planes de contingencia Actividades de esta fase - Disenar estrategias de continuidad de la organizacion - Presentar el análisis costo / Beneficio de las estrategias de continuidad - Negociacion y firma de contratos con los proveedores de servicios Adquisicion de infraestructura de TIC s Preparacion de sitio alterno - Definir los procedimientos de recuperacion In

28 CAPITULO 2 ESTANDARES Y MEJORES PRACTICAS PARA LA PLANEACIÓN DE LA CONTINUIDAD DEL NEGOCIO Y RECUPERACION ANTE DESASTRES DE TECNOLOGIA

29 22- ESTANDARES Y MEJORES PRACTICAS PARA LA PLANEACION DE LA CONTINUIDAD DEL NEGOCIO Y RECUPERACION ANTE DESASTRES DE TECNOLOGIA Las normas estandares y mejores practicas para la planeacion de la continuidad del negocio y recuperacion ante desastres de Tecnologia tienen como objetivo establecer Medidas y patrones tecnicos de administracion y organizacion de las Tecnologias de la Inforrnacion y de las Comunicaciones TIC s de todo el personal comprometido en el Uso de los servicios infonnaticos proporcionados por la Unidad de Informatica del Ministerio de Trabajo y Desarrollo Laboral A contmuacion un breve paso por las mismas Estandares En el siguiente cuadro se presenta un resumen de los estandares internacionales orientados a la construccion de un plan de recuperacion ante desastres para todo tipo de compañia el cual les permite volver a su estado normal y seguir ofreciendo el servicio cualquiera que este sea 27

30 Cuadro 1- Estándares Tornado de: iso.org/iso/caia/ogue detaii?csnunzher ~ m BS :2006 RS :2007 Estándares ISO/PAS a 1 "Sirve corno orientación para la implementación ch' un plan de continuidad de negocio" "Corresponde a los requisitos para implementar el plan 1' la certificación y auditoría del mismo. 'Describe Io.r conceptos y principios de la tecnología de información comunicación (TIC), la preparación para la continuidad del negocio, y proporciona un marco (le métodos y procesos para identificar y especificar todos los aspectos (por ejemplo. los criterios de rendimiento, diseño y ejecuci(in) para!so IEC 27031:2011: me/orar la preparación de la organización de las TIC para garantizar la continuidad del negocio. El ámbito de aplicación de la norma SO / IEC 27031:201/ abarca todos los eventos e incidentes (incluidos los relacionados COfl la seguridad) que podrían tener un impacto en la infraestructura de las TIC.v los sistemas. Se incluye -v amplía las prácticas de manejo de incidentes de seguridad de información 1' la gestión y planificación de las TIC y los servicios de preparacion. JSO/IEC 27001:2005: Especi/ica los requisitos para establecer, implementar, operar, moni/orear, revisar, mantener y me/orar un Sistema de Información (le Seguridad documentado de gestión en el contexto de los riesgos de negocio de la organización en general. Específica los requisitos para la aplicación de controles de seguridad adaptados a las necesidades de organizaciones individuales o parles de los mismos. El estándar ISO/IEC está diseñada para garantizar la selección de controles de seguridad adecuados y proporcionales que proteger los activos de información y (lar confianza a las partes interesadas.

31 ISO/PAS SO/Itt Proporciona orientacion general para una organizacion las organizaciones privadas gubernamentales y no gubernamentales para desarrollar sus propios criterios de rendimiento específicos para la preparacion de incidentes y la continuidad de trabajo y el diseño de un sistema de gestion apropiado Proporciona una base para la comprension desarrollo e implementacion de la continuidad de las operaciones y servicios dentro de una organizacion y para proporcionar la confianza en los negocios la comunidad los clientes que responde en primer lugar y de organizacion interacciones Tambien permite a la organizacion medir su capacidad de recuperacion de una manera consistente y reconocida Cubre todos los tipos de organizaciones (por ejemplo empresas comerciales agencias gubernamentales organizaciones sinfines de lucro) SO / EC especifica los requisitos para establecer implementar operar monitorear revisar mantener y mejorar un Sistema de Informacion de Seguridad documentado de gestion en el contexto de los riesgos de negocio de la organizacion en general Especifica los requisitos para la aplicacion de controles de seguridad adaptados a las necesidades de organizaciones individuales o partes de los mismos El estandar ISO/1EC esta diseñada para garantizar la seleccion de controles de veguridad adecuados y proporcionales que proteger los activos de informacion y dar confianza a las partes interesadas 29

32 ISO/1EC Describe los conceptos y principios de la tecnologia de informacion y comunicacion (TIC) la preparacion para la continuidad del negocio y proporciona un marco de metodos y procesos para identificar y especificar todos los aspectos (por ejemplo los criterios de rendimiento diseño y ejecucion) para mejorar la preparacion de la organizacion de las TIC para garantizar la continuidad del negocio Se aplica a cualquier organizacion (privada gubernamental y no gubernamental independientemente de su tamaño) el desarrollo de su preparacion para las TIC para el programa de continuidad del negocio (irbc) y que requieren de sus servicios TIC / infraestructuras para estar listos para apoyar las operaciones del negocio en caso de salir eventos e incidentes e interrupciones relacionadas que podrian afectar a la continuidad (incluida la seguridad) de las funciones criticas del negocio Tambien permite una organizacion para medir parametros de rendimiento que se correlacionan con su irbc de una manera consistente y reconocida El ambito de aplicacion de la norma SO / IEC abarca todos los eventos e incidentes (incluidos los relacionados con la seguridad) que podrian tener un impacto en la infraestructura de las TIC y los sistemas Se incluye y amplia las practicas de manejo de incidentes de seguridad de informacion y la gestion y planificacion de las TIC y los servicios de Meiores Practicas Un acercamiento a las mejores practicas significa la buvqueda de ideas y experiencias que han funcionado con aquellos que emprendieron actividades similares en el pasado y se decide cual de esas practicas son relevantes con la íituacion actual de la que partimos Las mejores practicas no se refieren a re inventar la rueda sino que es el aprendizaje a traves de otros con implementaciones que han sido desarrolladas para que funcionen correctamente [3]